LogoFAIL: vulnerabilidades críticas de UEFI
Pesquisadores de Binarmente, anunciou a notícia de que foi descoberta uma nova vulnerabilidade queue visa interfaces de firmware extensíveis e unificadas (UEFI) responsável por inicializar dispositivos modernos rodando Windows ou Linux.
Batizado como "LogoFAIL", esta vulnerabilidade explora bugs que estão presentes há anos no Analisadores de imagem UEFI, permitindo que códigos maliciosos sejam executados nos estágios iniciais do processo de inicialização, comprometendo assim a segurança da plataforma.
Todos os dispositivos Windows e Linux são considerados vulneráveis ao novo ataque de firmware LogoFAIL que afeta uma ampla variedade de modelos de computadores de vários fabricantes. O ataque se destaca pela facilidade de execução, pelo impacto nos modelos de consumo e profissionais, bem como pelo alto nível de controle sobre os dispositivos infectados. O LogoFAIL pode ser executado remotamente, contornando os mecanismos de defesa tradicionais e comprometendo a segurança da plataforma nos estágios iniciais do processo de inicialização.
Sobre LogoFAIL
LogoFAIL se concentra em logotipos, especialmente de fornecedores de hardware, que são exibidos na tela no início do processo de inicialização enquanto o UEFI ainda está em execução. Os analisadores de imagens integrados nas UEFIs dos três principais IBVs apresentam uma dezena de vulnerabilidades críticas que até agora passaram despercebidas. Substituindo imagens de logotipo legítimas por versões especificamente projetadas Para explorar essas vulnerabilidades, LogoFAIL permite a execução de código malicioso em um estágio de inicialização crucial conhecido como DXE, (Ambiente de Execução do Driver.).
Pesquisadores binários explicaram em um documento técnico queassim que a execução for realizada de código arbitrário durante a fase DXE, a segurança da plataforma está comprometida. A partir deste ponto você ganha controle total sobre a memória, o disco e até mesmo o sistema operacional do dispositivo alvo que será executado. Depois disso, LogoFAIL pode entregar uma carga útil de segundo estágio, colocando um executável no disco rígido mesmo antes de o sistema operacional principal inicializar.
Para mostrar a vulnerabilidade, foi apresentada uma demonstração dessa exploração por meio de um vídeo ilustrativo elaborado pelos pesquisadores. As vulnerabilidades são objeto de uma divulgação massiva e coordenada, publicada nesta quarta-feira, envolvendo a participação de empresas que representam quase todo o ecossistema de processadores x64 e ARM.
Para passar nas verificações de segurança, a ferramenta instala o mesmo firmware UEFI assinado criptograficamente já em uso, modificando apenas a imagem do logotipo, que não requer assinatura digital válida. Em muitos casos, a ferramenta IBV é assinada digitalmente, reduzindo o risco de envolvimento de proteções de endpoint.
No whitepaper que acompanha a apresentação, os pesquisadores descreveram os estágios de um ataque LogoFAIL da seguinte forma:
“Conforme demonstrado na imagem acima, um ataque LogoFAIL pode ser dividido em três fases distintas. Primeiro, o invasor prepara uma imagem de logotipo maliciosa que armazena no ESP ou em uma seção não assinada de uma atualização de firmware. Em seguida, reinicie o dispositivo.
Durante o processo de inicialização, o firmware vulnerável carrega o logotipo malicioso do ESP e o analisa usando um analisador de imagem vulnerável. Isso permite que o invasor sequestre o fluxo de execução explorando uma falha no próprio analisador. Ao explorar esta ameaça, o invasor pode executar código arbitrário durante a fase DXE, o que equivale a comprometer completamente a segurança da plataforma. »
O nível de perigo do LogoFAIL se deve ao seu potencial de infecção remota e a sua capacidade de escapar aos mecanismos de defesa tradicionais acentua os riscos envolvidos. O alto nível de controle sobre os dispositivos infectados levanta preocupações sobre a persistência e detecção desta ameaça, mesmo após a implementação de patches de segurança.
Finalmente, é importante que os fabricantes de computadores, os desenvolvedores de firmware e os fornecedores de segurança trabalhem juntos rapidamente para desenvolver patches para combater esta ameaça. A magnitude desta vulnerabilidade também destaca a importância de reforçar a segurança do processo de arranque e de reavaliar os mecanismos de defesa existentes para garantir uma protecção eficaz contra ataques tão sofisticados.
Finalmente Se você estiver interessado em saber mais sobre isso, você pode verificar os detalhess no link a seguir.